기업을 위한 IT 전문 파트너
  • 새소식
안랩, 부동의 1위는 에이전트테슬라, 급부상 중인 2위 악성코드는?
  • 제조사
  • 게시일 : 2020-07-02
  • 조회수 : 134
  • SNS공유 페이스북 트위터
안랩 시큐리티대응센터(이하 ASEC)는 2020년 6월 22일부터 28일까지 자사의 자동 분석 시스템인 라핏(RAPIT)을 통해 수집된 한 주간의 악성코드 통계 정보를 발표했다. 최근 일주일 동안 급부상한 악성코드는 무엇일까?




이 기간 동안 국내에서 가장 많은 수집된 악성코드는 정보탈취형 악성코드인 에이전트테슬라(AgentTesla)였다. 에이전트테슬라는 6월 한달 동안 매주 부동의 1위 자리를 놓치지 않은 가장 위협적인 악성코드이다. 2위는 코인 마이너 악성코드인 글룹테바(Glupteba), 3위는 정보 탈취형 악성코드인 폼북(Formbook)인 것으로 집계됐다. 이어 로키봇(Lokibot)과 njRAT가 공동 4위를 차지했다.

대분류 상으로는 인포스틸러 악성코드가 43.1%로 1위를 차지하였으며, 그 다음으로는 원격 관리 도구(RAT) 악성코드가 14.6%, 랜섬웨어 악성코드가 8.7%를 차지하였다. Banking과 다운로더 악성코드는 8.3%, 2.1%로 그 뒤를 따랐다.



가장 주목할 만한 사항은 글룹테바가 19.1%를 차지, 에이전트테슬라(19.4%)와 함께 가장 많은 비율을 차지하며 급부상했다는 점이다. 글룹테바가 6월 국내에서 수집된 악성코드 Top5에 등장한 것은 이번이 처음이다([표 1] 참고).



[표 1] 2020년 6월 국내에서 수집된 악성코드 Top 5 (단위 주)


Top 1 – 에이전트테슬라(AgentTesla)
19.4%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포된다.

Top 2 – 글룹테바(Glupteba)​
19.1%를 차지하는 글룹테바는 프로그래밍 언어 고(Go)로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 모네로(XMR) 코인 마이너를 설치하는 코인 마이너 악성코드이다. 현재 확인된 글룹테바는 대부분은 PUP(Potentially Unwanted Program)를 통해 다운로드되는 방식으로 유포되고 있다.

Top 3- 폼북(Formbook)
폼북은 인포스틸러 악성코드로서 6.9%를 차지하고 있다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포된다. 폼북 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, 클립보드 그래빙(Clipboard Grabbing), 웹 브라우저의 폼 그래빙(Form Grabbing) 등 다양한 정보를 탈취할 수 있다.

Top 4 (공동) – 로키봇(Lokibot) & njRAT
로키봇은 인포스틸러 악성코드로서 5.6%를 차지하고 있다. 대부분의 웹 브라우저, 메일 클라이언트, FTP 클라이언트들뿐만 아니라 메신저, 퍼티(Putty) 등의 프로그램도 그 대상이 된다. 또한 시스템에 상주하면서 키로깅 기능도 수행할 수 있다. 로키봇 악성코드도 최근에는 주로 스팸 메일 형태로 유포되며, C&C 서버가 fre.php로 끝나는 특징을 갖는다.

5, 6%를 차지한 njRAT은 키로깅을 포함한 정보 유출 외에도 공격자의 명령을 수행할 수 있는 RAT 악성코드이다. 최근 수집되는 njRAT들은 대부분 특정 국산 무료 도메인 서비스에서 kro.kr나 p-e.kr와 같은 도메인 주소를 활용하여 악성 C2 서버 주소를 얻어온다. njRAT은 대부분 웹 하드나 토렌트를 통해 정상 파일로 위장하여 유포 중이다. 유포 시 위장하는 대상으로는 게임 핵이나 기프트카드 생성기와 같은 불법 프로그램이 다수 존재하며, 이 외에도 불법 공유 게임들에 포함되어 유포되는 경우가 많다.​
 

[출처 : 안랩(((www.ahnlab.com)]

인터파크 큐브릿지 IT영업부
자세히보기
  • Office 365
  • CCT
TOP